Die 1&1 Telecom GmbH ist nochmal mit einem blauen Auge davon gekommen: Der Telekommunikationsanbieter 1&1 muss wegen eines Verstoßes gegen die DSGVO „nur“ ein Bußgeld von 900.000 Euro zahlen. Das ursprünglich verhängte Bußgeld betrug nämlich satte 9,6 Millionen Euro.
Das Landgericht Bonn entschied als erstes Gericht über die Forderung eines Millionenbußgeldes gegen ein Unternehmen wegen eines Datenschutzverstoßes. Die Bonner Richter stellten klar, dass das verhängte Bußgeld gegen den Telekommunikationsanbieter zwar rechtens sei, aber zu hoch.
Sachverhalt
Der mangelhafte Datenschutz im Callcenter ist durch einen Stalking-Fall ans Licht gekommen: Im Jahr 2018 hatte eine Frau bei der 1&1-Hotline angerufen und bekam die neue Handynummer ihres Ex-Mannes übermittelt. Diese hatte sich fälschlicherweise als dessen Noch-Ehefrau ausgegeben und nur seinen Namen und sein Geburtsdatum nennen müssen, um die Handynummer durchgesagt zu bekommen. Die Telefonnummer nutzte die Frau, um ihren Ex-Freund telefonisch zu belästigen.
Der Bundesdatenschutzbeauftragte, der als Bundesbehörde für die Kontrolle von Telekommunikationsunternehmen in Sachen Datenschutz zuständig ist, sah in der Herausgabe der Telefonnummer einen grob fahrlässigen Verstoß gegen Art. 32 der DSGVO und verhängte das Millionenbußgeld. Art. 32 DSGVO verpflichtet den für die Datenverarbeitung Verantwortlichen „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Die bloße Abfrage von Name und Geburtsdatum zur Authentifizierung von Telefonanrufern gewährleiste keinen ausreichenden Schutz für die Daten im Callcenter.
Bußgeld von 9,6 Millionen Euro unangemessen
Der Telekommunikationsdienstleister empfand das Bußgeld als absolut unverhältnismäßig und ging dagegen gerichtlich vor. Das Landgericht Bonn urteilte, dass ein Verstoß gegen Art. 32 DSGVO zwar vorliege. Das Callcenter habe kein sicheres Authentifizierungsverfahren zum Schutz der Kundendaten benutzt. Zudem müsse 1&1 nach europäischem Recht haften, obwohl kein Verstoß einer Person aus der Leitungsebene nachweisbar sei. Das Landgericht stellte auf den Wortlaut der DSGVO ab. Im Gegensatz zum Ordnungswidrigkeitengesetz ist dort nämlich nichts über die Zurechenbarkeit geregelt.
Allerdings sei ein nur geringer Verstoß zu verzeichnen erklärt das Gericht in einer Pressemitteilung: „Im Hinblick auf die über Jahre geübte Authentifizierungspraxis, die bis zu dem Bußgeldbescheid nicht beanstandet worden sei, habe es dort an dem notwendigen Problembewusstsein gefehlt.“ Da es nicht zu massiven Datenabfragen kam, sondern nur ein Einzelfall betroffen ist, sei es lediglich ein geringer Datenschutzverstoß. Für Callcenter gebe es außerdem keine rechtsverbindlichen Vorgaben, wie sie ihre Authentifizierungsverfahren durchzuführen hätten.
Fazit
Beide Parteien haben sich in ihren ersten Stellungnahmen nach dem Urteil zufrieden gezeigt. Der Bundesdatenschutz-Beauftragte Prof. Ulrich Kelber erklärte, dass er das Handeln seiner Behörde durch das Urteil als bestätigt ansieht. Für ihn zähle vor allem, dass das Gericht das Unternehmen für haftungspflichtig erklärt hat.
Haben Sie noch Fragen? Dann kontaktieren Sie uns ganz einfach hier. Und wenn Sie zu spannenden und aktuellen Rechtsthemen nichts mehr verpassen möchten, dann können Sie hier unseren kostenlosen Newsletter abonnieren.
Bild von Andreas Breitling auf Pixabay